Безопасность в сети: как создать IT-продукт для международного рынка

Cybersecurity для амбициозных проектов, которые целятся на выход на глобальный рынок, — просто must have. Если компания планирует масштабироваться, думать о безопасности следует с самых первых дней. При этом работа над обеспечением безопасности — процесс без конечной точки, эту задачу нельзя выполнить раз и навсегда. Однако начинать с чего-то стоит, поэтому вот несколько советов по обеспечению cybersecurity, сформулированных на основе опыта  Preply и коллег по IT-рынку.

Изучите законодательство

В теории политика безопасности должна соответствовать нормативно-правовым актам всех стран, в которых живут пользователи сервиса. Однако на практике обычно получается учитывать законы только некоторых государств. Обычно это страна регистрации и те регионы, где у проекта больше всего клиентов.

Если одной из ключевых стран для бизнеса является Украина, нужно ознакомиться и постоянно следить за изменениями в законе "Про захист персональних даних" и в разделе "Захист персональних даних" на сайте омбудсмена.

Чтобы работать в Европе, нужно изучать Общий регламент по защите данных (GDPR, The General Data Protection Regulation), который изложен в Постановлении Европейского Союза 2016/679. Регламент вступает в силу в мае 2018 года.

Кроме того, в Европейском Союзе действует регуляция по работе с cookies, то есть c теми данными, которые сайт запомнил о пользователе. Пример работы cookies: сайт "запоминает", какой язык юзер выбрал как наиболее удобный для чтения.

В разных странах требования к сайтам и сервисам, которые используют cookies, отличаются. Так как требования в разных странах разнятся, мы решили эту задачу так: на уровне CDN-серверов определяем регион пользователя и в зависимости от требования конкретной страны показываем сообщение о cookies.

Не повторяйте чужих ошибок

Большинство хакерских атак становятся возможными из-за десяти типичных ошибок — это доказала международная некоммерческая организация Open Web Application Security Project (OWASP). Чтобы сделать софт во всем мире более безопасным, организация составила топ-10 самых распространенных ошибок веб-приложений, из-за которых страдает сybersecurity.

Ознакомившись с OWASP Top 10 Web Application Security Risks, вы сможете узнать, как устранить наиболее распространенные лазейки в web-приложениях.

Этот топ-10 — обязательный к изучению и внедрению, но мы не останавливаемся на том, чтобы обезопасить только основные критические места в системе.

Храните данные безопасно

Есть два пути при организации хранения данных пользователей: использовать облачные решения или хранить на собственных серверах.

Первое решение имеет несколько плюсов. Во-первых, это финансово целесообразно. Согласно размеру бизнеса можно выбрать удобный тариф у одного из облачных провайдеров (например, AWS, Azure или DigitalOcean). Вторым положительным фактором при выборе "облака" является простота в обслуживании, ведь большая компания предоставляет сервис, поддержку, обеспечивает безопасность.

Некоторые компании предпочитают самостоятельно организовывать хранение информации на своих серверах. Это дает возможность настроить все "под себя", но на другой чаше весов — стоимость содержания сервера, зарплата специалистам, необходимость 24/7 поддерживать работу. К тому же тот факт, что серверы физически расположены у вас в офисе, не гарантирует защиты от взлома. Гиганты вроде Azure или AWS справляются с задачей защиты данных куда лучше, чем небольшой локальный бизнес.

Где платежи, там и опасность

По статистике Verizon, 73% всех атак направлены на перехват данных во время осуществления платежей. Так что, если сервис принимает какую-либо оплату онлайн, необходимо принять меры безопасности.

Начать можно со стандарта безопасности PCI DSS при работе с кредитными картами. Стандарт описывает двенадцать критериев, которым должен соответствовать сервис, если он обрабатывает данные платежной карты (например, код CVV2).

Чтобы подтвердить, что сервис соответствует критериям безопасности PCI DSS, нужно пройти внутренний или внешний аудит, либо же проводить самотестирование SAQ.

Эффективный способ гарантировать безопасность платежей — прибегнуть к услугам стороннего провайдера. Главное — выбирать надежную, проверенную компанию с хорошей репутацией. Для нас это Braintree. Благодаря им данные карты пользователя даже не проходят через наш сервер, а обрабатываются на стороне провайдера.

Создание безопасного продукта и защита персональных данных пользователей — это не опция, а насущная необходимость, начиная с самого запуска проекта. Это непрерывный процесс совершенствования и поиска уязвимостей. Если даже такие гиганты как Facebook или Skype несут огромные репутационные и финансовые потери из-за скандалов с утечкой данных, то что уж говорить о молодом проекте. "Либо умей обеспечить сybersecurity, либо умри" — таков закон выживания в IT-отрасли.